MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

11.2.09

Waledac e Ingeniería Social en San Valentín

Para el malware actual, cada evento, noticia o circunstancia especial es aprovechada como método de engaño para diseminarse a sí mismo o a otros códigos maliciosos, siendo el correo electrónico no deseado uno de los vectores de ataque más empleados para este fin.

Nuestras casillas de correo muestran ejemplos concretos que describen esta situación. El día de San Valentín (o de los enamorados) es uno de ellos, y si miramos un poco el correo spam que nos inunda, notaremos que muchos hacen alguna referencia al cercano festejo.

De hecho, waledac ha comenzado su campaña de propagación con bastante anticipación diseminándose utilizando como engaño una típica imagen que hace alusión a los enamorados mediante la cual se descargaba un binario llamado love.exe que lejos de ser amoroso, infecta el equipo convirtiéndolo en un zombie.

Como componente extra, esta anterior campaña, además de descargar el malware, la página maliciosa contenía un exploit. Entre ellas se encontraron:

googol-analisys .com
seocom .name
seocom .mobi
seofon .net
goog-analysis .com

Sin embargo, recientemente sus desarrolladores han migrado la imagen a otra que pretende encontrar el mismo grado de "ternura", descargando también a waledac.

Algunos de los nombres utilizados para el binario son:

lovekit.exe
mylove.exe
loveprogramm.exe
love.exe
loveexe.exe
barack.exe
postcard.exe
devkit.exe
runme.exe
you.exe
onlyyou.exe
youandme.exe
card.exe
ecard.exe
val.exe
install.exe

Waledac hace uso de redes Fast-Flux y algunos de los dominios utilizados para propagarlos son:

adorelyric .com
adorepoem .com
adoresongs .com
alldatanow .com
alldataworld .com
bestadore .com
bestlovehelp .com
bestlovelong .com
cantlosedata .com
chatloveonline .com
cherishletter .com
cherishpoems .com
freedoconline .com
funloveonline .com
goodnewsdigital .com
losenowfast .com
lovecentralonline.com
lovelifeportal.com
mingwater .com
orldlovelife .com
romanticsloving .com
superobamaonline .com
theworldpool .com
topwale .com
wagerpond .com
whocherish .com
worldlovelife .com
worldtracknews .com
worshiplove .com
youradore .com
yourdatabank .com
yourgreatlove .com
yourteamdoc .com

Muchos lo comparan con otros códigos maliciosos como Nuwar (también conocido como storm o gusano de la tormenta) debido a la similitud de sus estrategias de diseminación y actividades maliciosos que realiza en el equipo infectado. Sin embargo, la realidad es que waledac es un peligroso código malicioso que ha formado una de las más importantes redes botnet del momento.

Información relacionada:
Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs
Entendiendo las redes Fast-Flux

# pistus

0 comentarios:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)